使用 SSO 和 Shibboleth 2.0 的一般问题 - 将属性从 IdP 传递到 SP

Question

我一直在阅读有关使用 Shibboleth 2.0 作为单点登录技术的内容。我遇到的一个困惑是，身份提供商 (IdP) 是否可以向服务提供商 (SP) 发送一个电子邮件属性，该属性可以向 Web 应用程序准确指示谁正在登录。

例如，如果用户 Joe 被定向到使用电子邮件 [email protected]< 在 IdP 上注册（创建用户/密码等） /a>，并且我的应用程序可以唯一识别 [email protected]，然后IdP 的身份验证响应是否可以表明 1.) 是的，这个人就是他所说的那个人，并且 2.) 他的电子邮件地址是 [电子邮件受保护]。

Shibboleth 联盟中 SSO 的一个主要优点似乎是应用程序不需要了解 Joe 在 IdP 中选择的特定用户名和密码的任何信息。这是真的吗？如果是这样，这是一个好的设计吗？或者，制作这样一个系统的风险和考虑因素是什么。

如果这不是一个好的设计，那么常见的替代方案是什么？

在我的应用程序中，我支持 SSL，并且我所有的个人电子邮件都是已知且唯一的。谢谢。

Answer 1

是的，身份验证的一部分是识别谁刚刚登录。Shibboleth 确实提供了将此信息作为 SAML 响应的一部分进行通信的机制。

请参阅https://spaces.internet2.edu/display/SHIB2/FlowsAndConfig# FlowsAndConfig-4.IdPIssuesResponsetoSP 了解这部分对话的一般描述。 IdP 发回一个“断言”，其中包含有关您希望的人员的所有属性。 Shibboleth 只能向某些 SP 发送属性 - 请参阅 https://spaces.internet2.edu/display/ SHIB2/IdPAddAttributeFilter 。